Aggregator

SDL 27/100问:如何提升开发人员的安全意识?(link is external)

我的安全视界观
11 months 3 weeks ago
开发人员的安全意识和能力,决定着代码原本的安全质量。提升安全能力变得很有必要,通常做法包括安全责任、安全教育及漏洞复盘: 1、建立安全责任:在公司或团队中营造安全文化氛围,明确开发人员在安全方面的责任和义务,让他们明白自己在安全工作中的角色和重要性;建立安全责任追究机制,对违反安全规定或造成安全漏洞的行为进行追责与处罚。 2、开发安全教育:定期组织开发安全培训,提供实际案例让开发人员了解安全漏洞是如何被利用,让开发人员了解最新的安全威胁、漏洞类型和攻击方式;其中,非常有效的一招是“解决不了问题,就解决写漏洞的开发人员”的思路,在一定周期内统计写漏洞数量top的开发人员,然后组织培训和考试。 3、外部漏洞复盘:在自助型SDL中,SAST、SCA、IAST都需要业务方自行去判断扫描结果,从历史复盘经验来看,有的开发会缺少责任心或专业技能,导致漏洞被漏判从而漏出到外部。此时用SRC收到的漏洞组织开发进行复盘分析,找出误判的原因更有效。不过是在事后,安全团队需要承担安全事件带来的领导质疑、赏金等代价。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SDL与DevSecOps有何异同? 如何在不同企业实施SDL? SAST误报太高,如何解决? SDL需要哪些人参与? 在devops中做开发安全,会遇到哪些问题? 如何实施安全需求? 安全需求,有哪些来源? 安全需求怎么实现自动化? 实施安全需求,会遇到哪些难题? 安全需求和安全设计有何异同及关联? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 有哪些威胁建模工具? 如何开始或实施威胁建模? 威胁建模和架构安全评审,有何异同? 编码阶段,开展哪些安全活动? 如何选择静态代码扫描(SAST)工具? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 如何制定一份有用的开发安全规范? 如何做到开发安全规范的有效实施? 应该如何选型代码安全扫描工具? SDL 26/100问:代码安全扫描应该设置哪些指标? 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

Managed ad